Ultimas Noticias
-
Oxygen Builder <= 4.8 – Stored Cross-Site Scripting Autenticado (Contributor+) a través de Campo Personalizado
El plugin Oxygen Builder para WordPress es vulnerable a Stored Cross-Site Scripting a través de un campo personalizado en todas las versiones hasta, e incluyendo, la 4.8 debido a una insuficiente sanitización de entrada y escapado de salida. Esto permite que atacantes autenticados, con acceso de nivel contribuyente o superior, inyecten scripts web arbitrarios en…
-
Profile Builder <= 3.10.7 – Desreferencia Insegura de Objetos Directos para la Exposición de Información Sensible a través del shortcode user_meta
La vulnerabilidad CVE-2023-6504 afecta al plugin User Profile Builder – Formularios hermosos de registro de usuarios, perfiles de usuarios y editor de roles de usuario para WordPress. Esta vulnerabilidad permite el acceso no autorizado a datos debido a una falta de verificación de capacidades en la función wppb_toolbox_usermeta_handler en todas las versiones hasta, e incluyendo,…
-
Orbit Fox Companion <= 2.10.26 – Cross-Site Scripting almacenado autenticado (Contributor+) a través de campos personalizados
El complemento Orbit Fox by ThemeIsle para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los campos personalizados del complemento en todas las versiones hasta, e incluyendo, la 2.10.26 debido a una insuficiente validación de entrada y escape de salida en los valores proporcionados por el usuario. Esto permite a los atacantes autenticados…
-
WP Social Bookmark Menu <= 1.2 – Cross-Site Request Forgery para Actualización de Configuración
El plugin WP Social Bookmark Menu para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 1.2. Esta vulnerabilidad se debe a la falta o validación incorrecta de nonce. Esto permite que atacantes no autenticados actualicen la configuración a través de una solicitud falsificada, siempre y cuando puedan…
-
Vulnerabilidad de autorización faltante en LightStart – Maintenance Mode, Coming Soon and Landing Page Builder
El plugin LightStart – Maintenance Mode, Coming Soon and Landing Page Builder para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función insert_template en todas las versiones hasta, e incluyendo, la 2.6.8. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y…
-
Easy SVG Allow <= 1.0 – Cross-Site Scripting almacenado (Autor+) autenticado a través de SVG
El plugin Easy SVG Allow para WordPress es vulnerable a Cross-Site Scripting almacenado a través de un archivo SVG cargado en todas las versiones hasta, e incluyendo, 1.0 debido a una insuficiente sanitización de entradas y escape de salida. Esto permite a atacantes autenticados, con acceso de nivel autor y superior, inyectar scripts web arbitrarios…
-
Weaver Xtreme <= 6.3.0 – Autenticación (Contribuidor+) Almacenada de Script Cruzado en Sitios Web
En este informe de seguridad, se detectó una vulnerabilidad en el tema Weaver Xtreme para WordPress. Esta vulnerabilidad permite a atacantes autenticados (con permisos de contribuidor o superiores) inyectar scripts web arbitrarios en páginas del sitio web. El tema Weaver Xtreme para WordPress es vulnerable a una vulnerabilidad de Script Cruzado Almacenado a través de…